信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告.doc

xx有限公司記錄編號(hào)005信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估報(bào)告創(chuàng)建日期2015年8月16日文檔密級(jí)更改記錄時(shí)間更改內(nèi)容更改人項(xiàng) 目 名 稱： XXX風(fēng)險(xiǎn)評(píng)估報(bào)告 被評(píng)估公司單位： XXX有限公司 參與評(píng)估部門：XXXX委員會(huì) 一、風(fēng)險(xiǎn)評(píng)估項(xiàng)目概述1.1 工程項(xiàng)目概況1.1.1 建設(shè)項(xiàng)目基本信息風(fēng)險(xiǎn)評(píng)估版本201X年8日5日更新的資產(chǎn)清單及評(píng)估項(xiàng)目完成時(shí)間201X年8月5日項(xiàng)目試運(yùn)行時(shí)間2015年1-6月1.2 風(fēng)險(xiǎn)評(píng)估實(shí)施單位基本情況評(píng)估單位名稱XXX有限公司二、風(fēng)險(xiǎn)評(píng)估活動(dòng)概述2.1 風(fēng)險(xiǎn)評(píng)估工作組織管理描述本次風(fēng)險(xiǎn)評(píng)估工作的組織體系（含評(píng)估人員構(gòu)成）、工作原則和采取的保密措施。2.2 風(fēng)險(xiǎn)評(píng)估工作過(guò)程本次評(píng)估供耗時(shí)2天，采取抽樣的的方式結(jié)合現(xiàn)場(chǎng)的評(píng)估，涉及了公司所有部門及所有的產(chǎn)品，已經(jīng)包括了位于公司地址位置的相關(guān)產(chǎn)品。2.3 依據(jù)的技術(shù)標(biāo)準(zhǔn)及相關(guān)法規(guī)文件本次評(píng)估依據(jù)的法律法規(guī)條款有：序號(hào)法律、法規(guī)及其他要求名稱頒布時(shí)間實(shí)施時(shí)間頒布部門1全國(guó)人大常委會(huì)關(guān)于維護(hù)互聯(lián)網(wǎng)安全的決定2000.12.282000.12.28全國(guó)人大常委會(huì)2中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例1994.02.181994.02.18國(guó)務(wù)院第147號(hào)令3中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定1996.02.011996.02.01國(guó)務(wù)院第195號(hào)令4中華人民共和國(guó)計(jì)算機(jī)軟件保護(hù)條例2001.12.202002.01.01國(guó)務(wù)院第339號(hào)令5中華人民共和國(guó)信息網(wǎng)絡(luò)傳播權(quán)保護(hù)條例2006.05.102006.07.01國(guó)務(wù)院第468號(hào)令6中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法1998.03.061998.03.06國(guó)務(wù)院信息化工作領(lǐng)導(dǎo)小組7計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法1997.12.161997.12.30公安部第33號(hào)令8計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品檢測(cè)和銷售許可證管理辦法1997.06.281997.12.12公安部第32號(hào)令9計(jì)算機(jī)病毒防治管理辦法2000.03.302000.04.26公安部第51號(hào)令10惡意軟件定義200706.27200706.27中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)11抵制惡意軟件自律公約200706.27200706.27中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)12計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定1998.2.261998.02.26國(guó)家保密局13計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定2000.01.012000.01.01國(guó)家保密局14軟件產(chǎn)品管理辦法2000.10.082000.10.08中華人民共和國(guó)工業(yè)和信息化部15互聯(lián)網(wǎng)等信息系統(tǒng)網(wǎng)絡(luò)傳播視聽(tīng)節(jié)目管理辦法2004.06.152004.10.11國(guó)家廣播電影電視總局16互聯(lián)網(wǎng)電子公告服務(wù)管理規(guī)定2000.10.082000.10.08信息產(chǎn)業(yè)部17信息系統(tǒng)工程監(jiān)理工程師資格管理辦法2003年頒布2003.03.26信息產(chǎn)業(yè)部18信息系統(tǒng)工程監(jiān)理單位資質(zhì)管理辦法2003.03.262003.04.01信息產(chǎn)業(yè)部19電子認(rèn)證服務(wù)管理辦法2009.02.042009.03.31信息產(chǎn)業(yè)部20關(guān)于印發(fā)國(guó)家電子信息產(chǎn)業(yè)基地和產(chǎn)業(yè)園認(rèn)定管理辦法（試行）的通知2008.03.042008.03.04中華人民共和國(guó)信息產(chǎn)業(yè)部21計(jì)算機(jī)軟件著作權(quán)登記收費(fèi)項(xiàng)目和標(biāo)準(zhǔn)1992.03.161992.04.01機(jī)電部計(jì)算機(jī)軟件登記辦公室22中國(guó)互聯(lián)網(wǎng)絡(luò)域名管理辦法2004.11.052004.12.20信息產(chǎn)業(yè)部23中華人民共和國(guó)專利法2010.01.092010.02.01全國(guó)人民代表大會(huì)常務(wù)委員24中華人民共和國(guó)技術(shù)合同法1987.06.231987.06.23國(guó)務(wù)院科學(xué)技術(shù)部25關(guān)于電子專利申請(qǐng)的規(guī)定2010.08.272010.10.01國(guó)家知識(shí)產(chǎn)權(quán)局26中華人民共和國(guó)著作權(quán)法2010.02.262010.02.26全國(guó)人大常委會(huì)27中華人民共和國(guó)著作權(quán)法實(shí)施條例2002.08.022002.9.15國(guó)務(wù)院第359號(hào)令28科學(xué)技術(shù)保密規(guī)定1995.01.061995.01.06國(guó)家科委、國(guó)家保密局29互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定2005.12.132006.03.01公安部發(fā)布30中華人民共和國(guó)認(rèn)證認(rèn)可條例2003.09.032003.11.1國(guó)務(wù)院第390號(hào)令31中華人民共和國(guó)保守國(guó)家秘密法2010.04.292010.10.01全國(guó)人大常委會(huì)32中華人民共和國(guó)國(guó)家安全法1993.02.221993.02.22全國(guó)人大常委會(huì)33中華人民共和國(guó)商用密碼管理?xiàng)l例1999.10.071999.10.07國(guó)務(wù)院第273號(hào)令34消防監(jiān)督檢查規(guī)定2009.4.302009.5.1公安部第107號(hào)35倉(cāng)庫(kù)防火安全管理規(guī)則1990.03.221994.04.10中華人民共和國(guó)公安部令第6號(hào)36地質(zhì)災(zāi)害防治條例2003.11.242004.03.01國(guó)務(wù)院34號(hào)37電力安全生產(chǎn)監(jiān)管辦法2004.03.092004.03.09國(guó)家電力監(jiān)管委員會(huì)第2號(hào)38中華人民共和國(guó)勞動(dòng)法2007.06.292008.1.1華人民共和國(guó)主席令第二十八號(hào)39失業(yè)保險(xiǎn)條例1998.12.261999.01.22國(guó)務(wù)院40失業(yè)保險(xiǎn)金申領(lǐng)發(fā)放2001.10.262001.01.01勞動(dòng)和社會(huì)保障部41中華人民共和國(guó)企業(yè)勞動(dòng)爭(zhēng)議處理?xiàng)l例1993.06.111993.08.01國(guó)務(wù)院2.4 保障與限制條件需要被評(píng)估單位提供的文檔、工作條件和配合人員等必要條件，以及可能的限制條件。三、評(píng)估對(duì)象3.1 評(píng)估對(duì)象構(gòu)成與定級(jí)3.1.1 網(wǎng)絡(luò)結(jié)構(gòu)根據(jù)提供的網(wǎng)絡(luò)拓?fù)鋱D，進(jìn)行結(jié)構(gòu)化的審核。3.1.2 業(yè)務(wù)應(yīng)用本公司涉及的數(shù)據(jù)中心運(yùn)營(yíng)及服務(wù)活動(dòng)。3.1.3 子系統(tǒng)構(gòu)成及定級(jí) N/A3.2 評(píng)估對(duì)象等級(jí)保護(hù)措施按照工程項(xiàng)目安全域劃分和保護(hù)等級(jí)的定級(jí)情況，分別描述不同保護(hù)等級(jí)保護(hù)范圍內(nèi)的子系統(tǒng)各自所采取的安全保護(hù)措施，以及等級(jí)保護(hù)的測(cè)評(píng)結(jié)果。根據(jù)需要，以下子目錄按照子系統(tǒng)重復(fù)。3.2.1 XX子系統(tǒng)的等級(jí)保護(hù)措施根據(jù)等級(jí)測(cè)評(píng)結(jié)果，XX子系統(tǒng)的等級(jí)保護(hù)管理措施情況見(jiàn)附表一。根據(jù)等級(jí)測(cè)評(píng)結(jié)果，XX子系統(tǒng)的等級(jí)保護(hù)技術(shù)措施情況見(jiàn)附表二。四、資產(chǎn)識(shí)別與分析4.1 資產(chǎn)類型與賦值4.1.1資產(chǎn)類型按照評(píng)估對(duì)象的構(gòu)成，分類描述評(píng)估對(duì)象的資產(chǎn)構(gòu)成。詳細(xì)的資產(chǎn)分類與賦值，以附件形式附在評(píng)估報(bào)告后面，見(jiàn)附件3資產(chǎn)類型與賦值表。4.1.2資產(chǎn)賦值填寫(xiě)資產(chǎn)賦值表。大類詳細(xì)分類舉例文檔和數(shù)據(jù)經(jīng)營(yíng)規(guī)劃中長(zhǎng)期規(guī)劃等經(jīng)營(yíng)計(jì)劃等組織情況組織變更方案等組織機(jī)構(gòu)圖等組織變更通知等組織手冊(cè)等規(guī)章制度各項(xiàng)規(guī)程、業(yè)務(wù)手冊(cè)等人事制度人事方案等人事待遇資料等錄用計(jì)劃等離職資料等中期人員計(jì)劃等人員構(gòu)成等人事變動(dòng)通知等培訓(xùn)計(jì)劃等培訓(xùn)資料等財(cái)務(wù)信息預(yù)決算（各類投資預(yù)決算)等業(yè)績(jī)（財(cái)務(wù)報(bào)告)等中期財(cái)務(wù)狀況等資金計(jì)劃等成本等財(cái)務(wù)數(shù)據(jù)的處理方法（成本計(jì)算方法和系統(tǒng)，會(huì)計(jì)管理審查等經(jīng)營(yíng)分析系統(tǒng)，減稅的方法、規(guī)程)等營(yíng)業(yè)信息市場(chǎng)調(diào)查報(bào)告（市場(chǎng)動(dòng)向，顧客需求，其它本公司動(dòng)向及對(duì)這些情況的分析方法和結(jié)果)等商談的內(nèi)容、合同等報(bào)價(jià)等客戶名單等營(yíng)業(yè)戰(zhàn)略（有關(guān)和其它本公司合作銷售、銷售途徑的確定及變更，對(duì)代理商的政策等情報(bào))等退貨和投訴處理（退貨的品名、數(shù)量、原因及對(duì)投訴的處理方法)等供應(yīng)商信息等技術(shù)信息試驗(yàn)/分析數(shù)據(jù)（本公司或者委托其它單位進(jìn)行的試驗(yàn)/分析)等研究成果（本公司或者和其它單位合作研究開(kāi)發(fā)的技術(shù)成果)等科技發(fā)明的內(nèi)容（專利申請(qǐng)書(shū)以及有關(guān)的資料/試驗(yàn)數(shù)據(jù))等開(kāi)發(fā)計(jì)劃書(shū)等新產(chǎn)品開(kāi)發(fā)的體制、組織（新品開(kāi)發(fā)人員的組成，業(yè)務(wù)分擔(dān)，技術(shù)人員的配置等)技術(shù)協(xié)助的有關(guān)內(nèi)容（協(xié)作方，協(xié)作內(nèi)容，協(xié)作時(shí)間等)教育資料等技術(shù)備忘錄等軟件信息生產(chǎn)管理系統(tǒng)等技術(shù)解析系統(tǒng)等計(jì)劃財(cái)務(wù)系統(tǒng)等設(shè)計(jì)書(shū)等流程等編碼、密碼系統(tǒng)等源程序表等其他訴訟或其他有爭(zhēng)議案件的內(nèi)容（民事、無(wú)形資產(chǎn)、工傷等糾紛內(nèi)容)本公司基本設(shè)施情況（包括動(dòng)力設(shè)施)等董事會(huì)資料（新的投資領(lǐng)域、設(shè)備投資計(jì)劃等)本公司電話簿等本公司安全保衛(wèi)實(shí)施情況及突發(fā)事件對(duì)策等軟件操作系統(tǒng)Windows、 Linux 等應(yīng)用軟件/系統(tǒng)開(kāi)發(fā)工具、辦公軟件、網(wǎng)站平臺(tái)、 財(cái)務(wù)系統(tǒng) 等數(shù)據(jù)庫(kù)MS SQL Server、MySQL 等硬件設(shè)備通訊工具傳真等傳輸線路光纖、雙絞線等存儲(chǔ)媒體磁帶、光盤、軟盤、U 盤等存儲(chǔ)設(shè)備光盤刻錄機(jī)、磁帶機(jī)等文印設(shè)備打印機(jī)、復(fù)印機(jī)、掃描儀服務(wù)器PC Server、小型機(jī)等桌面終端PC、工作站等網(wǎng)絡(luò)通信設(shè)備路由器、交換機(jī)、集線器、無(wú)線路由器等網(wǎng)絡(luò)安全設(shè)備防火墻、防水墻、IPS 等支撐設(shè)施UPS、機(jī)房空調(diào)、發(fā)電機(jī)等人力資源高層管理人員高層管理人員 本公司總/副總經(jīng)理、總監(jiān)等中層管理人員部門經(jīng)理技術(shù)管理人員項(xiàng)目經(jīng)理、項(xiàng)目組長(zhǎng)、安全工程師普通技術(shù)人員軟件工程師、程序員、測(cè)試工程師、界面工程師等IT 服務(wù)人員系統(tǒng)管理員、網(wǎng)絡(luò)管理員、維護(hù)工程師其它人事、行政、財(cái)務(wù)等人員服務(wù)通信ADSL、光纖等房租辦公房屋租用托管服務(wù)器托管、虛擬主機(jī)、郵箱托管法律外聘律師、法律顧問(wèn)供電照明電、動(dòng)力電審計(jì)財(cái)務(wù)審計(jì)6.2. 資產(chǎn)賦值判斷準(zhǔn)則對(duì)資產(chǎn)的賦值不僅要考慮資產(chǎn)的經(jīng)濟(jì)價(jià)值，更重要的是要考慮資產(chǎn)的安全狀況對(duì)于系統(tǒng)或組織的重要性，由資產(chǎn)在其三個(gè)安全屬性上的達(dá)成程度決定。資產(chǎn)賦值的過(guò)程也就是對(duì)資產(chǎn)在機(jī)密性、完整性和可用性上的達(dá)成程度進(jìn)行分析，并在此基礎(chǔ)上得出綜合結(jié)果的過(guò)程。達(dá)成程度可由安全屬性缺失時(shí)造成的影響來(lái)表示，這種影響可能造成某些資產(chǎn)的損害以至危及信息系統(tǒng)，還可能導(dǎo)致經(jīng)濟(jì)效益、市場(chǎng)份額、組織形象的損失。6.2.1. 機(jī)密性賦值根據(jù)資產(chǎn)在機(jī)密性上的不同要求，將其分為三個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在機(jī)密性上應(yīng)達(dá)成的不同程度或者機(jī)密性缺失時(shí)對(duì)整個(gè)組織的影響。賦值標(biāo)識(shí)定 義3高包含組織最重要的秘密，關(guān)系未來(lái)發(fā)展的前途命運(yùn)，對(duì)根本利益有著決定性的影響，如果泄露會(huì)造成災(zāi)難性的損害，例如直接損失超過(guò)100 萬(wàn)人民幣，或重大項(xiàng)目（合同）失敗，或失去重要客戶，或關(guān)鍵業(yè)務(wù)中斷3天。2中組織的一般性秘密，其泄露會(huì)使組織的安全和利益受到損害，例如直接損失超過(guò)10 萬(wàn)人民幣，或項(xiàng)目（合同）失敗，或失去客戶，或關(guān)鍵業(yè)務(wù)中斷超過(guò)1 天。1低可在社會(huì)、組織內(nèi)部或在組織某一部門內(nèi)部公開(kāi)的信息，向外擴(kuò)散有可能對(duì)組織的利益造成輕微損害或不造成傷害。6.2.2. 完整性賦值根據(jù)資產(chǎn)在完整性上的不同要求，將其分為三個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在完整性上缺失時(shí)對(duì)整個(gè)組織的影響。賦值標(biāo)識(shí)定 義3高完整性價(jià)值非常關(guān)鍵，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成重大的或無(wú)法接受的影響，對(duì)業(yè)務(wù)沖擊重大，并可能造成嚴(yán)重的業(yè)務(wù)中斷，并且難以彌補(bǔ)。例如直接損失超過(guò)100 萬(wàn)人民幣，或重大項(xiàng)目（合同）失敗，或失去重要客戶。2中完整性價(jià)值中等，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成影響，對(duì)業(yè)務(wù)沖擊明顯，但可以彌補(bǔ)。例如直接損失超過(guò)10 萬(wàn)人民幣，或項(xiàng)目（合同）失敗，或失去客戶。1低完整性價(jià)值較低，未經(jīng)授權(quán)的修改或破壞會(huì)對(duì)組織造成輕微影響，甚至可以忽略，對(duì)業(yè)務(wù)沖擊輕微，容易彌補(bǔ)。6.2.3. 可用性賦值根據(jù)資產(chǎn)在可用性上的不同要求，將其分為三個(gè)不同的等級(jí)，分別對(duì)應(yīng)資產(chǎn)在可用性上的達(dá)成的不同程度。賦值標(biāo)識(shí)定 義3高可用性價(jià)值非常高，合法使用者對(duì)資產(chǎn)的可用度達(dá)到年度90%以上，或系統(tǒng)不允許中斷。2中可用性價(jià)值中等，合法使用者對(duì)資產(chǎn)的可用度在正常工作時(shí)間達(dá)到50%以上，或系統(tǒng)允許中斷時(shí)間小于8 工作時(shí)。1低可用性價(jià)值較低或可被忽略，合法使用者對(duì)資產(chǎn)的可用度在正常工作時(shí)間達(dá)到50%以下，或系統(tǒng)允許中斷時(shí)間小于24 工作時(shí)。6.2.4. 資產(chǎn)重要性等級(jí)資產(chǎn)價(jià)值（V） 機(jī)密性價(jià)值（C）完整性價(jià)值（I）可用性價(jià)值（A）資產(chǎn)等級(jí)：等級(jí)價(jià)值分類資產(chǎn)總價(jià)值1低3 42中5 73高8 94.2 重要資產(chǎn)清單及說(shuō)明在分析被評(píng)估系統(tǒng)的資產(chǎn)基礎(chǔ)上，列出對(duì)評(píng)估單位十分重要的資產(chǎn)，作為風(fēng)險(xiǎn)評(píng)估的重點(diǎn)對(duì)象，并以清單形式列出如下：重要資產(chǎn)列表序號(hào)資產(chǎn)編號(hào)子系統(tǒng)名稱應(yīng)用資產(chǎn)重要程度權(quán)重其他說(shuō)明1.F001各類公司證件其他高2.F002財(cái)務(wù)賬務(wù)文件其他高3.F004發(fā)票其他高4.F006用友通財(cái)務(wù)軟件備份數(shù)據(jù)其他高5.ATSH10-007Pernod Ricard業(yè)務(wù)持續(xù)服務(wù)合同客戶合同高6.ATSH-11/001/10-007天選備份軟件維護(hù)服務(wù)合同供應(yīng)商合同高7.ATSH10-008VantAsia業(yè)務(wù)持續(xù)服務(wù)合同客戶合同高8.ATSH11-001NAB業(yè)務(wù)持續(xù)服務(wù)合同客戶合同高9.HW-009服務(wù)器(運(yùn)作技術(shù)部)服務(wù)器高10.HW-022精密空調(diào)(運(yùn)作技術(shù)部)精密空調(diào)高11.HW-023UPS(運(yùn)作技術(shù)部)UPS高12.HW-024PPDC(運(yùn)作技術(shù)部)PPDC高13.HW-026AVAYA(運(yùn)作技術(shù)部)通訊設(shè)備高14.HW-027Switch(運(yùn)作技術(shù)部)網(wǎng)絡(luò)設(shè)備高15.HW-028Router(運(yùn)作技術(shù)部)網(wǎng)絡(luò)設(shè)備高16.HW-029Fire wall(運(yùn)作技術(shù)部)網(wǎng)絡(luò)設(shè)備高17.HW-030DVR(運(yùn)作技術(shù)部)監(jiān)控設(shè)備高18.HW-031客戶數(shù)據(jù)（硬盤）硬盤高19.HW-032柴油發(fā)電機(jī)組柴油發(fā)電機(jī)高20.F001etax網(wǎng)上報(bào)稅系統(tǒng)財(cái)務(wù)軟件單機(jī)高21.F002用友通財(cái)務(wù)軟件財(cái)務(wù)軟件單機(jī)高22.F003發(fā)票打印軟件財(cái)務(wù)軟件單機(jī)高23.A-02-25-03-201106-004Cowin 監(jiān)控系統(tǒng)監(jiān)控系統(tǒng)高24.A-02-25-03-201106-005General_PSS_V4.01.0.R.091112監(jiān)控系統(tǒng)高25.H0001梁文略高層管理人員高26.S0002楊英高層管理人員高27.S0001李海寧中層管理人員高28.S0006趙紅銷售人員高29.S0003張光輝中層管理人員高30.S0004劉子明IT 服務(wù)人員高31.S0005胡捷IT 服務(wù)人員高32.S0008張力IT 服務(wù)人員高33.S0007唐海英其它高34.S0026劉影其它高35.server02網(wǎng)絡(luò)通信中國(guó)聯(lián)通高36.server03供電物管- 德必創(chuàng)意高37.server04房屋物管- 德必創(chuàng)意高五、威脅識(shí)別與分析對(duì)威脅來(lái)源（內(nèi)部/外部；主觀/不可抗力等）、威脅方式、發(fā)生的可能性，威脅主體的能力水平等進(jìn)行列表分析。下面是典型的威脅范本：編號(hào)威脅硬件和設(shè)施軟件和系統(tǒng)文檔和數(shù)據(jù)人力資源服務(wù)1故障2廢棄3服務(wù)失效/中斷4惡意軟件5抵賴6通信監(jiān)聽(tīng)7操作失誤8未經(jīng)授權(quán)更改9未經(jīng)授權(quán)訪問(wèn)，使用或復(fù)制10被利用傳送敏感信息11盜竊12供電故障13惡意破壞14電子存儲(chǔ)媒體故障15違背知識(shí)產(chǎn)權(quán)相關(guān)法律、法規(guī)16溫度、濕度、灰塵超限17靜電18黑客攻擊19容量超載20系統(tǒng)管理員權(quán)限濫用21密鑰泄露、篡改22密鑰濫用23個(gè)體傷害（車禍、疾病等）24不公正待遇25社會(huì)工程26人為災(zāi)難：瘟疫、火災(zāi)、爆炸、恐怖襲擊等27自然災(zāi)難：地震、洪水、臺(tái)風(fēng)、雷擊等28服務(wù)供應(yīng)商泄密5.1 威脅數(shù)據(jù)采集5.2 威脅描述與分析依據(jù)威脅賦值表，對(duì)資產(chǎn)進(jìn)行威脅源和威脅行為分析。5.2.1 威脅源分析填寫(xiě)威脅源分析表。5.2.2 威脅行為分析填寫(xiě)威脅行為分析表。5.2.3 威脅能量分析5.3 威脅賦值威脅發(fā)生可能性等級(jí)對(duì)照表等級(jí)說(shuō) 明發(fā)生可能性1低非等級(jí)2 與等級(jí)3 的定義2中每半年至少發(fā)生一次但不及等級(jí)33高每月至少發(fā)生兩次說(shuō)明：判斷威脅出現(xiàn)的頻率是威脅識(shí)別的重要工作，評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)進(jìn)行判斷。在風(fēng)險(xiǎn)評(píng)估過(guò)程中，還需要綜合考慮以下三個(gè)方面，以形成在某種評(píng)估環(huán)境中各種威脅出現(xiàn)的頻率：1) 以往安全事件報(bào)告中出現(xiàn)過(guò)的威脅及其頻率的統(tǒng)計(jì)；2) 實(shí)際環(huán)境中通過(guò)檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)；3) 近一兩年來(lái)國(guó)際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警。六、脆弱性識(shí)別與分析按照檢測(cè)對(duì)象、檢測(cè)結(jié)果、脆弱性分析分別描述以下各方面的脆弱性檢測(cè)結(jié)果和結(jié)果分析。6.1 常規(guī)脆弱性描述編號(hào)大類編號(hào)小類及說(shuō)明1環(huán)境和基礎(chǔ)設(shè)施1.1物理保護(hù)的缺乏：建筑物、門、窗等1.2物理訪問(wèn)控制不充分或不仔細(xì)1.3電力供應(yīng)不穩(wěn)1.4處于易受到威脅的場(chǎng)所，例如洪水、地震1.5缺乏防火、防雷等保護(hù)性措施2硬件2.1缺乏周期性的設(shè)備更新方案2.2易受電壓變化影響2.3易受到溫度、濕度、灰塵和污垢影響2.4易受到電磁輻射2.5媒體介質(zhì)缺乏維護(hù)或錯(cuò)誤安裝2.6缺乏有效的配置變更控制2.7缺乏設(shè)施安全控制機(jī)制2.8不當(dāng)維護(hù)2.9不當(dāng)處置3軟件3.1不清晰、不完整的開(kāi)發(fā)規(guī)格說(shuō)明書(shū)3.2沒(méi)有、或不完備的軟件測(cè)試3.3復(fù)雜的用戶界面3.4缺乏標(biāo)示和授權(quán)機(jī)制，例如用戶授權(quán)3.5缺乏審核蹤跡3.6眾所周知的軟件缺陷，易受病毒等攻擊3.7密碼表未受到保護(hù)3.8密碼強(qiáng)度太弱3.9訪問(wèn)權(quán)限的錯(cuò)誤配置3.10未經(jīng)控制的下載和使用軟件3.11離開(kāi)工作常所未注銷（鎖屏）3.12缺乏有效的變更控制3.13文檔缺乏3.14缺乏備份3.15處置或重用沒(méi)有正確的擦除內(nèi)容的存儲(chǔ)介質(zhì)3.16缺乏加解密使用策略3.17缺乏密鑰管理3.18缺乏身份鑒別機(jī)制3.19缺乏補(bǔ)丁管理機(jī)制3.20安裝、使用盜版軟件3.21缺乏使用監(jiān)控3.22未經(jīng)授權(quán)復(fù)制或傳播軟件（許可）3.23缺乏（文件）共享安全策略3.24缺乏服務(wù)/端口安全策略3.25缺乏病毒庫(kù)升級(jí)管理機(jī)制3.26不受控發(fā)布公共信息4網(wǎng)絡(luò)與通信4.1通信線路缺乏保護(hù)4.2電纜連接不牢固4.3對(duì)發(fā)送和接收方缺乏識(shí)別與驗(yàn)證4.4明文傳輸口令4.5發(fā)送與接受消息時(shí)缺少證據(jù)4.6撥號(hào)線路4.7未保護(hù)的敏感信息傳輸4.8網(wǎng)絡(luò)管理不恰當(dāng)4.9未受保護(hù)的公網(wǎng)連接4.10缺乏身份鑒別機(jī)制4.11未配置或錯(cuò)誤配置訪問(wèn)權(quán)限5文檔5.1存放缺乏保護(hù)5.2不受控訪問(wèn)或復(fù)制5.3隨意處置5.4缺乏備份機(jī)制6人員6.1員工缺編6.2安全訓(xùn)練不完備6.3缺乏安全意識(shí)6.4缺乏控制機(jī)制6.5缺乏員工關(guān)懷/申訴政策6.6不完備的招聘/離職程序6.7道德缺失7服務(wù)與一般應(yīng)用弱點(diǎn)7.1單點(diǎn)故障7.2服務(wù)故障響應(yīng)不及時(shí)7.3負(fù)載過(guò)高7.4缺乏安全控制機(jī)制7.5缺乏應(yīng)急機(jī)制6.3 脆弱性綜合列表威脅發(fā)生可能性等級(jí)對(duì)照表等級(jí)說(shuō) 明發(fā)生可能性1低非等級(jí)2 與等級(jí)3 的定義2中每半年至少發(fā)生一次但不及等級(jí)33高每月至少發(fā)生兩次說(shuō)明：判斷威脅出現(xiàn)的頻率是威脅識(shí)別的重要工作，評(píng)估者應(yīng)根據(jù)經(jīng)驗(yàn)和（或）有關(guān)的統(tǒng)計(jì)數(shù)據(jù)來(lái)進(jìn)行判斷。在風(fēng)險(xiǎn)評(píng)估過(guò)程中，還需要綜合考慮以下三個(gè)方面，以形成在某種評(píng)估環(huán)境中各種威脅出現(xiàn)的頻率：1) 以往安全事件報(bào)告中出現(xiàn)過(guò)的威脅及其頻率的統(tǒng)計(jì)；2) 實(shí)際環(huán)境中通過(guò)檢測(cè)工具以及各種日志發(fā)現(xiàn)的威脅及其頻率的統(tǒng)計(jì)；3) 近一兩年來(lái)國(guó)際組織發(fā)布的對(duì)于整個(gè)社會(huì)或特定行業(yè)的威脅及其頻率統(tǒng)計(jì)，以及發(fā)布的威脅預(yù)警。七、風(fēng)險(xiǎn)分析7.1 關(guān)鍵資產(chǎn)的風(fēng)險(xiǎn)計(jì)算結(jié)果信息安全風(fēng)險(xiǎn)矩陣計(jì)算表威脅發(fā)生可能性低1中2高3影響程度等級(jí)低1中2高3低1中2高3低1中2高3資產(chǎn)價(jià)值1123246369224648126121833696121891827說(shuō)明：在完成了資產(chǎn)識(shí)別、威脅識(shí)別、弱點(diǎn)識(shí)別，以及對(duì)已有安全措施確認(rèn)后，將采用適當(dāng)?shù)姆椒ù_定威脅利用弱點(diǎn)導(dǎo)致安全事件發(fā)生的可能性，考慮安全事件一旦發(fā)生其所作用的資產(chǎn)的重要性及弱點(diǎn)的嚴(yán)重程度判斷安全事件造成的損失對(duì)組織的影響，即安全風(fēng)險(xiǎn)。風(fēng)險(xiǎn)計(jì)算的方式如下，風(fēng)險(xiǎn)值 弱點(diǎn)被利用可能性等級(jí)X 威脅利用弱點(diǎn)影響程度等級(jí)X 資產(chǎn)價(jià)值信息安全風(fēng)險(xiǎn)接受準(zhǔn)則等級(jí)劃分標(biāo)準(zhǔn)說(shuō)明A級(jí)18及以上不可接受的風(fēng)險(xiǎn)，必須采取控制措施B級(jí)6-12有條件接受的風(fēng)險(xiǎn)（需經(jīng)評(píng)估小組評(píng)審，判斷是否可以接受的風(fēng)險(xiǎn))C級(jí)1-4不需要評(píng)審即可接受的風(fēng)險(xiǎn)7.2.4 風(fēng)險(xiǎn)結(jié)果分析等級(jí)數(shù)量說(shuō)明A級(jí)18不可接受的風(fēng)險(xiǎn)，必須采取控制措施B級(jí)186有條件接受的風(fēng)險(xiǎn)（需經(jīng)評(píng)估小組評(píng)審，判斷是否可以接受的風(fēng)險(xiǎn))C級(jí)17不需要評(píng)審即可接受的風(fēng)險(xiǎn)八、綜合分析與評(píng)價(jià)通過(guò)綜合的評(píng)估，公司現(xiàn)有的風(fēng)險(xiǎn)評(píng)估的結(jié)果是適宜的、充分的、有效的。九、整改意見(jiàn)1. 加強(qiáng)各部門對(duì)風(fēng)險(xiǎn)處理技巧的培訓(xùn)。2. 對(duì)A級(jí)風(fēng)險(xiǎn)公司的處理需對(duì)各部門進(jìn)行公示。3. 對(duì)A級(jí)和B級(jí)風(fēng)險(xiǎn)采取適當(dāng)?shù)目刂拼胧帉?xiě)入公司的三級(jí)文件進(jìn)行控制。 附件1：管理措施表序號(hào)層面/方面安全控制/措施落實(shí)部分落實(shí)沒(méi)有落實(shí)不適用安全管理制度管理制度制定和發(fā)布評(píng)審和修訂安全管理機(jī)構(gòu)崗位設(shè)置人員配備授權(quán)和審批溝通和合作審核和檢查人員安全管理 人員錄用人員離崗人員考核安全意識(shí)教育和培訓(xùn)外部人員訪問(wèn)管理系統(tǒng)建設(shè)管理系統(tǒng)定級(jí)安全方案設(shè)計(jì)產(chǎn)品采購(gòu)自行軟件開(kāi)發(fā)外包軟件開(kāi)發(fā)